Vortrag: Gebt mir eure Daten

Nachbericht Vortrag: Gebt mir eure Daten

Am 22. November fand der gemeinsame Vortrag „Gebt mir eure Daten“ von aramido und ENSECUR im Rahmen des Roundtable Formats im CyberForum in Karlsruhe statt. Teilnehmer waren Geschäftsführer und Mitarbeiter von Softwareunternehmen, die überwiegen SaaS-leistungen anbieten. Für alle, die nicht an dem Vortrag teilnehmen konnten, wollen wir hier die wichtigsten Erkenntnisse zusammenstellen.

Vortrag 1: Datenschutz als Erfolgsfaktor für SaaS-Unternehmen

Julian Häcker erläuterte in seinem Vortrag wie Datenschutz ein Erfolgsfaktor im Auswahlprozess von Auftraggebern sein kann. Die Teilnehmer gewannen ein Grundverständnis darüber, warum Auftraggeber eine Auftragsdatenverarbeitung mit ihnen abschließen müssen. Außerdem erfuhren sie was übliche Regelungsinhalte wie Rechte und Pflichten zwischen ihnen und ihren Auftraggebern sind. Darüber hinaus lernten sie, wie Nachweise für funktionierenden Datenschutz mit der Anlage der technischen und organisatorischen Maßnahmen erbracht werden können, und was die Inhalte dabei sind.

In einem weiteren Schritt leitete Julian Häcker konkrete Handlungsempfehlungen für die Teilnehmer und ihr eigenes Produkt anhand von Fragen ab:

  1. Was ist mein Produkt?
  2. Wer ist mein Kunde?
  3. Was machen meine Wettbewerber?
  4. Wer sind meine Subunternehmer?
  5. Was mache ich???

 

Die Fragen scheinen trivial, doch in der Beantwortung ergeben sich komplexe miteinander verflochtene Erkenntnisse. Je nach Produkt (SaaS-Hosting, Housing, Wartung oder Support) ergeben sich je nach Zielgruppe (nationale/internationale kleine oder große Unternehmen) und Wettbewerbsumfeld unterschiedliche Chancen und Risiken. Daraus lässt sich die individuelle Datenschutzstrategie ableiten. Ein Ausblick zu einzelnen Änderungen durch die EU-Datenschutz-Grundverordnung rundete den Vortrag ab.

Vortrag 2: IT-Sicherheit durch Penetrationstests

Andreas Sperber demonstrierte in seinem Vortrag „IT-Sicherheit durch Penetrationstests“ wie SaaS-Anbieter durch Penetrationstest ihr Vertrauen bei Auftraggebern und gleichzeitig ihren Erfolg steigern können. Er skizzierte die verschiedenen Phasen eines Penetrationstests und erarbeitete einen fiktiven Angriffsplan, um potentielle Schwachstellen in einem Live Hacking zu finden. Liebevoll und detailliert führte er den Angriff dann Schritt für Schritt in einer Testumgebung durch. Er ging darauf ein, wie z.B. übermäßiges Veröffentlichen von Beiträgen auf Facebook für Social Engineering missbraucht werden kann und wie das in Kombination mit technischen Implementierungsfehlern (z.B. https ohne HSTS und alten Versionsständen von Softwareversionen auf Servern) ins Unglück führen kann. Der Teilnehmerkreis war überrascht, wie einfach der Angriff im Live Hacking durchgeführt werden konnte und wie es  möglich war, ein Benutzerkonto zu übernehmen, dieses mit Administrationsrechten zu versehen und damit streng vertrauliche Firmeninformationen zu stehlen.

Lebhafte Diskussionen und hohe Zufriedenheit

Im Anschluss folgte eine lebhafte Diskussion zwischen Teilnehmenden und Vortragenden. Das Feedback der Teilnehmer war sehr positiv und die Veranstaltung wurde mit der Note 1,36 bewertet. Hier sind noch ein paar Aspekte, die besonders gelobt wurden:

  • Praxisbezug
  • das Vorgehen des Pentests
  • Sichten aus großen sowie kleinen Unternehmen mit unterschiedlichen Schwerpunkten
  • Neue Impulse für den Alltag erfahren

 

Abschließend gilt unser Dank dem Veranstalter CyberForum, der mit seiner perfekten Organisation die Durchführung wesentlich erleichterte.

Sie sind Geschäftsführer/in oder Vertriebsverantwortliche/r eines SaaS-Unternehmen und haben den Vortrag verpasst? Sie interessieren sich für die Inhalte? Sprechen Sie uns an!

No Comments

Post a Comment